Messages

Leider musste ich gerade feststellen, das der Ping nur einseitig funktioniert. Ich kann tatsächlich nur vom entfernten VPS das Heimnetz pingen, aber nicht aus dem Heimnetz die entfernte IP vom VPS.

Hat dafür vielleicht noch jemand Abhilfe?

Du brauchst auf der OPNsense wahrscheinlich eine statische Route zum Netz auf der entfernten Seite des WireGuard-Tunnels und sonst nichts.

Dazu legst du den lokalen Proxmox/LXC unter System > Gateways als Gateway an und dann unter System > Routed eine Route zum entfernten Netz über diesen Gateway.

Ja genau das ist es. Jetzt kann ich von der entfernten Seite auch einen Ping an die Geräte in meinem Heimnetz absetzen.

Besten Dank! :)

...

als erstes muss ich sagen, das ich nicht die Wireguard Funktion der OPNsense benutze. Das ist für den Fall das aus irgendwelchen Gründen der Router einmal temporär getauscht werden muss (defekte Hardware/falsche konfiguration, etc.), dann soll der VPN-Tunnel weiterhin aufrecht gehalten werden.

....

Der Wireguardtunnel wird dann an der defekten Routerhardware vorbei "direkt" (?) irgendwie aufgebaut?

Leute, es ist heiß draussen. Ziemlich heiß. Einfach schwimmen gehen und ein Eis essen. Danach viel lesen und dann Fragen stellen...

Ich verstehe nicht worauf du hinaus willst. Ich habe doch geschrieben, das ich die in OPNsense integrierte Wireguard Funktion nicht nutze, damit ich, wenn die OPNsense mal defekt ist (Achtung, das ist ein mögliches Szenario in der Zukunft!), schnell gegen eine Fritzbox tauschen kann, bis Ersatz Hardware bestellt ist.

Es ist nirgends davon die Rede das ich eine defekte OPNsense benutze.

Davon ab sagst Du, dass die WG-Verbindung zwischen dem VPS und einem LXC aufgebaut wird. Dabei ist doch die OPNsense gar nicht involviert, warum solltest Du dann irgendetwas auf ihr einstellen?

Anders gefragt, welche Verbindungen sollen denn nun konkret durch diesen WG-Tunnel durch gehen, welche Hosts sollen miteinander sprechen können?

Der LCX Container in dem ausschließlich Wireguard installiert ist, hat im Heimnetz die IP 192.168.1.207. Dieser soll eine Wireguard Verbindung zu einem externen VPS bei IONOS herstellen. Diese externe IP soll für einen Mailgateway im Heimnetz mit der IP 192.168.1.205 genutzt werden. Es sollte ja auch möglich sein von jeder IP im Heimnetz Daten vom VPS zu empfangen und über ihn zu senden.
Es ist also ausschließlich geplant die IP vom VPS für E-Mails zu verwenden.

Meinen Mailserver betreibe ich aktuell extern und möchte ihn in mein Homelab verlagern.

Und richtig, die OPNsense ist nicht direkt involviert. Aber so wird es in den YouTube Guides erklärt. Wenn ich ein Gerät aus dem Heimnetz mit einem externen Netz verbinden soll, z.B. zu einem VPS, dann wird jedes Mal gesagt das man diese IPv4 Route einstellen muss. Da die OPNsense nun die Aufgabe der Fritzbox übernimmt, habe ich geschlussfolgert, das ich diese Route in der OPNsense konfigurieren muss.

[Es gilt nun heraus zu finden, wie ich diese Einstellung in der OPNsense vornehme.]

Moin Moin,

als erstes muss ich sagen, das ich nicht die Wireguard Funktion der OPNsense benutze. Das ist für den Fall das aus irgendwelchen Gründen der Router einmal temporär getauscht werden muss (defekte Hardware/falsche konfiguration, etc.), dann soll der VPN-Tunnel weiterhin aufrecht gehalten werden.

1. Wireguard LCX Container auf Proxmox (zu Hause)
2. Wireguard Installation auf Debian 12 VPS (gemietet bei einem Provider)

Soweit habe ich alles eingerichtet und der Tunnel steht soweit. Einen Schritt habe ich jedoch übersprungen, weil ich die Funktion in der OPNsense nicht finden konnte. Daher ist es mir anscheinend nicht möglich die andere Seite an zu pingen. Willkürlich herumprobieren wollte ich nicht, aus Angst mich irgendwie selber auszusperren.

In "jedem zweiten" Youtube Guide wird beschrieben wie es mit der Fritzbox funktioniert:
Heimnetz --> Netzwerk --> Netzwerkeinstellungen --> IPv4-Routen --> Neue IPv4-Route

dann folgendes einstellen:
IPv4-Netzwerk: IP-Adresse vom gegenüberliegenden VPN-Server
Subnetzmaske: 255.255.255.255 (Subnetzmaske vom gegenüberliegenden VPN-Server / 32er Subnetz)
Gateway: Gateway-IP vom lokalen VPN-Server

Es gilt nun heraus zu finden, wie ich diese Einstellung in der OPNsense vornehme.

In dem Video wird auch gesagt das man dies auch an dem Router der gegenüberliegenden Seite einstellen muss. Dort gibt es aber logischer weise, wie bei jeden gemieteten VPS, keinen Router Zugriff.

Weiß jemand wie ich, an der Gegenseite unter Debian 12 dieses Routing konfigurieren kann bzw. ob ich dieses Routing überhaupt und unbedingt auf dem VPS konfigurieren muss?


Danke schon mal für eure Antworten!

Gruß Ph

[Go to Firewall ‣ Settings ‣ Advanced]

Zwischenstand: Ich kann nun auf alle Seiten zugreifen.

Die Lösung habe ich hier gefunden: https://docs.opnsense.org/manual/how-tos/nat_reflection.html#introduction-to-reflection-and-hairpin-nat


Ich habe mich für Method 3 entschieden. Dort sind 3 Schritte beschrieben. Ich habe nur den ersten Schritt durchgeführt und es funktioniert.

Go to Firewall ‣ Settings ‣ Advanced
Enable Reflection for port forwards to create automatic rules for all :menuselection: Firewall –> NAT –> Port Forward that have WAN as interface. Enable Automatic outbound NAT for Reflection to create automatic SNAT rules.

Nur diese beiden Dinge aktivieren und es läuft!

Vielen Dank nochmal für die Hilfe!

Du brauchst NAT reflection. Such mal im Forum.

Alternativ: benutz das Caddy Plugin auf der OPNsense anstelle der Portweiterleitung und Nginx.

Alles klar, Danke!

Den Begriff NAT reflection hatte ich vorher noch nie gehört, aber nun werde ich mal gezielt danach suchen. Wieder was dazu gelernt  :)

Wenn kein Port angezeigt wird, ist es der Default-Port. Für HTTP 80, für HTTPS 443.

Umstellen kann man das unter System > Settings > Administration > TCP Port.

Hier beispielsweise 4443 eintragen. Ebenfalls musst du den Haken bei HTTP Redirect: Disable web GUI redirect rule setzen.

Dann greifst du zukünftig mit dem Browser auf https://opnsense.meinedomain.de:4443 oder https://192.168.1.1:4443 zu für das Web UI und die Standard-Ports stehen für deine Anwendungen zur Verfügung.

Ja super, Danke! Das hat soweit schon mal funktioniert.

Nun passiert folgendes wenn ich die XXXXX.duckdns.org aus dem LAN öffne:
und wie gesagt, das öffnen von außerhalb (Mobil) funktioniert.

Nur so ein Schuss ins Blaue, aber ich denke, Du musst den Port für's Webinterface Deiner Opnsense umstellen, wenn Du sie als Reverseproxy benutzen willst. Sonst machst Du ne Anfrage an 192.168.1.20:443 und das wird dann vom Webinterface bedient. Du willst aber ja, dass das vom nginx bedient wird.

Weisst du zufällig wo man den Port dafür umstellt? In der Browseradressleiste wird auch kein Port angezeigt.

[Moin,ich versuche gerade Vaultwarden auf meiner Proxmox VE zum laufen zu bekommen.Der Container läuft auch, ich kann die Startseite aufrufen]

Moin,

ich versuche gerade Vaultwarden auf meiner Proxmox VE zum laufen zu bekommen.
Der Container läuft auch, ich kann die Startseite aufrufen

Code Select Expand

http://192.168.1.18:8000/#/login


Jetzt kommt der Punkt. Ich kann mir über diese IP keinen Account erstellen oder Anmelden. Da kommt dann immer folgende Meldung








Nun habe ich mir also Nginx Proxymanager installiert und wie folgt konfiguriert.






Die Weiterleitung über die duckdns URL sollte also an die entsprechende IP mit Port erfolgen.
Dieser Port ist auch für diese IP freigegeben

Für die Nginx IP 192.168.1.20 sind die Ports 80 und 443 freigegeben.

Deaktiviere ich beim Iphone Wlan und versuche über Mobiles Netz zu connecten, dann komme ich wie gewünscht auf die Vaultwarden Seite und kann mich auch anmelden.

Versuche ich das Ganze jetzt wieder über den Browser am PC unter XXXXXX.duckdns.org aufzurufen passiert folgendes:






Mit welchen Einstellungen kann ich das Problem beheben?







Danke schon mal für Eure Antworten!

Hallo,

Ich möchte von meiner OPNsense am liebsten vollautomatisierte Datenträger Backups machen um sicher zu stellen das bei einer Wiederherstellung auch Addons, die nicht aus der OPNsense repo stammen, wie z.b. Adguard, inkl. vollständiger Konfiguration wiederhergestellt werden.

Ich habe dazu einen Beitrag entdeckt, bei dem das ganze mit CloneZilla umgesetzt wird. Hier mal ein kurzer Ausschnitt aus dem
Beitrag:

Das Klonen eines Datenträgers hat natürlich nichts mit der OPNsense an sich zu tun und eignet sich grundsätzlich für eine ,,Bare-Metal-Sicherung" die ich auch immer wieder an anderen Systemen durchführe. Entweder klone ich direkt auf einen anderen Datenträger, oder wie im Fall meiner OPNsense, in ein Image auf das NAS. Selbstredend führt dies eine gewisse Downtime der Firewall mit sich, da das System für die Sicherung heruntergefahren werden muss und anschließend vom USB Stick in (in meinem Fall) CloneZilla gebootet werden kann.

Dort wird beschrieben das das System dafür herunter gefahren werden muss. So eine Downtime ist eigentlich inakzeptabel.
Das einzige Programm mit dem ich bisher Backups gemacht habe ist Macrium Reflect Home. Dies benutze ich für meine 2 Windows Systeme. Dort wird ein Full-Backup während des Betriebes im Hintergrund erstellt und die Wiederherstellung inkl. aller Partitionen funktioniert reibungslos.
So etwas muss es doch eigentlich auch geben um ein Datenträger Backup zu machen ohne OPNsense in einer VM auf Proxmox laufen zu lassen.

Weiß jemand mehr über dieses Thema?

Danke schon mal für eure Antworten!


Gruß Ph

Okay, das Umstellen auf feste IP versuche ich nach Ostern im lokalen Vodafone-Shop.

Nein nein  ::) Verwechsel eine feste IP nicht mit Dual Stack. Das ist ein Unterschied. Du bekommst keine feste IP ohne weiteres von Vodafone. Das wäre dann mindestens ein Geschäftskundentarif (du brauchst einen Gewerbeschein) und die feste IP kostet 5€ extra.
Aber wer weiß, vielleicht vergeben die sowas ja auch schon für Privatkunden mit Aufpreis.


Zu deinem VLAN Problem, überprüfe das hier mal:
Ich benutze ein Draytek Vigor167 Modem. Dort ist das VLAN 7 vorkonfiguriert vom Hersteller. Ich wurde darauf hingewiesen das ich dann an der OPNsense kein VLAN 7 einstellen darf.
Alternative wäre, VLAN 7 an der OPNsense einstellen und dafür am Modem deaktivieren.

Ich hab bei Telekom den Geschäftskunden Tarif. Dort sagt man einfach dass man eine feste IP für VPN braucht weil man Homeoffice macht. Dann bekommt man ganz einfach den Tarif mit fester IP. Bei Vodafone geht das bestimmt auch.

Das hab ich auch bei Vodafone probiert... Einfach gesagt das ich Homeoffice machen muss. Das Problem waren halt die Callcenter Mitarbeiter, die für solche Fragen und Probleme nicht ausreichend geschult sind...

Hast du schon herausgefunden ob du einen echten Dual-Stack oder vielleicht sogar einen DS-Lite Anschluss hast?

OPNsense funktioniert nicht mit DS-Lite Anschlüssen. Das musste ich leider auch feststellen. Nach vielen Telefonaten mit Vodafone, wo wirklich so gut wie keiner weiß was ein DS oder DS-Lite Anschluss ist, hatte ich endlich einen "jüngeren" Mitarbeiter der mir vorgelesen hat was er bei sich anklicken kann und dann haben wir dann gemeinsam gemacht und danach hatte ich halt einen echten DS-Anschluss und die OPNsense hat sofort eine Verbindung aufgebaut.

Ich weiss nicht wie man herausfinden kann ob man DS-Lite hat. Ich wusste es nur weil ich vorher eine Fritzbox hatte und ich mich erinnert habe, dort den Begriff DS-Lite gelesen zu haben.

Nachdem was ich herausgefunden habe, bekommen Privatkunden aufgrund der IP-Knappheit einen DS-Lite Anschluss. Einen echten DS-Anschluss gibt es sonst nur wenn du als Geschäftskunde einen Anschluss buchst. Sollte im schlimmsten Fall auch kein Problem sein. Hol dir für 25€ beim Amt einen Gewerbeschein und beantrage bei Vodafone eine Tarifumstellung auf einen Geschäfstarif... kostet eigentlich das selbe...

ok und weisst du ob es von Vorteil ist wenn ich in Discord QoS aktiviere? oder ist das der OPNsense egal ob priorisierte Pakete verschickt werden?